Plataforma
php
Componente
phpgurukul-online-shopping-portal-project
Corrigido em
2.1.1
A vulnerabilidade CVE-2026-5635 é uma falha de SQL Injection identificada no PHPGurukul Online Shopping Portal Project, especificamente no arquivo /categorywise-products.php. Essa falha permite a um atacante remoto manipular o argumento 'cid', potencialmente comprometendo a integridade e confidencialidade dos dados do banco de dados. A vulnerabilidade afeta a versão 2.1 do projeto e um exploit já foi divulgado publicamente, aumentando o risco de ataques.
Uma vulnerabilidade de injeção SQL foi descoberta no projeto Online Shopping Portal Project da PHPGurukul, versão 2.1. A vulnerabilidade reside no arquivo /categorywise-products.php, especificamente no componente Parameter Handler, devido ao tratamento inadequado do argumento cid. Isso permite que um atacante remoto execute consultas SQL arbitrárias, potencialmente levando a violações de dados, modificação ou exclusão. Informações confidenciais, como dados de usuários, detalhes de produtos e histórico de pedidos, podem ser comprometidas. A vulnerabilidade é classificada como 6.3 na escala CVSS. A exploração bem-sucedida pode comprometer severamente a integridade e a confidencialidade do sistema, prejudicando a confiança do cliente e a reputação do negócio.
A vulnerabilidade foi divulgada publicamente, o que significa que os atacantes já estão cientes de como explorá-la. Isso aumenta significativamente o risco de ataques direcionados a sistemas que executam a versão vulnerável do Online Shopping Portal Project. A natureza remota da vulnerabilidade significa que os atacantes podem explorá-la de qualquer lugar com acesso à Internet. A ação imediata é fortemente aconselhada para mitigar o risco, pois a exploração ativa é provável. A falta de um patch oficial agrava a situação, tornando a mitigação manual ainda mais crítica.
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, nenhum fix oficial foi lançado pela PHPGurukul para esta vulnerabilidade. A mitigação imediata e mais eficaz é desativar temporariamente a funcionalidade afetada dentro de /categorywise-products.php até que uma atualização esteja disponível. Recomenda-se fortemente uma auditoria completa do código para identificar e abordar quaisquer outras vulnerabilidades potenciais de injeção SQL. A validação e sanitização robustas de todas as entradas do usuário, especialmente aquelas usadas em consultas SQL, são cruciais. Considere o uso de prepared statements ou stored procedures para evitar a injeção SQL. Monitore ativamente os logs do servidor em busca de atividades suspeitas.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas del usuario, especialmente el parámetro 'cid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é uma vulnerabilidade de segurança que permite que atacantes insiram código SQL malicioso em consultas SQL, potencialmente concedendo-lhes acesso não autorizado a dados ou modificando o banco de dados.
Realize uma auditoria de segurança do seu site, prestando atenção especial ao arquivo /categorywise-products.php e como os parâmetros de entrada são tratados. Utilize ferramentas de varredura de vulnerabilidades para identificar possíveis problemas.
Isole imediatamente o sistema afetado da rede. Realize uma investigação forense para determinar o escopo do comprometimento. Restaure os dados de um backup limpo. Implemente medidas de segurança adicionais para evitar ataques futuros.
Várias ferramentas de varredura de vulnerabilidades e ferramentas de análise de código estático podem ajudar a identificar e corrigir vulnerabilidades de injeção SQL. Você também pode considerar o uso de um firewall de aplicativos da web (WAF).
Você pode encontrar mais informações sobre CVE-2026-5635 em bancos de dados de vulnerabilidades de segurança, como o National Vulnerability Database (NVD) da NIST.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.